Microsoft: Yeni Kimlik Avı Yöntemiyle Kullanıcı Hesapları Ele Geçiriliyor
Microsoft, devlet kurumları, sivil toplum kuruluşları, teknoloji, savunma, telekomünikasyon, sağlık ve enerji sektörlerinde faaliyet gösteren şirketleri hedef alan yeni bir siber saldırı dalgası tespit etti. Avrupa, Kuzey Amerika, Afrika ve Orta Doğu’da faaliyet gösteren bu kuruluşlar, kimlik avı saldırılarıyla büyük risk altında.
Microsoft’un tehdit istihbarat ekibi, saldırıları “Storm-2372” olarak takip ediyor. Uzmanlar, bu grubun Rusya destekli bir siber casusluk operasyonuyla bağlantılı olabileceğini düşünüyor.
Cihaz Kodu Oltalama Saldırısı Nasıl Çalışıyor?
Bazı akıllı televizyonlar ve IoT cihazları gibi klavyesi ve tarayıcısı olmayan cihazlar, kullanıcıların başka bir cihaz üzerinden kod girerek oturum açmasını gerektirir. İşte hackerlar tam da bu noktayı kullanıyor.
Microsoft, hackerların Ağustos 2024’ten itibaren bu yöntemi kötüye kullandığını belirtiyor. Sahte kimliklerle WhatsApp, Signal veya Microsoft Teams gibi platformlarda kurbanlarla iletişime geçen saldırganlar, onları bir sahte toplantıya davet ediyor.
E-posta veya mesaj yoluyla gönderilen davetiyede, kullanıcının bir cihaz kodu girmesi isteniyor. Ancak bu kod, saldırgan tarafından oluşturulmuş sahte bir doğrulama kodu oluyor. Kurban kodu girdiğinde, hackerlar Microsoft hesaplarına erişim sağlayarak e-postaları ele geçirebiliyor.
Microsoft 365 Hesapları Nasıl Ele Geçiriliyor?
Microsoft’un araştırmasına göre, saldırganlar Microsoft Authentication Broker adlı istemci kimliğini kullanarak yeni kimlik doğrulama jetonları oluşturabiliyor. Bu, saldırganlara sürekli erişim imkânı sağlıyor.
Hackerlar, ele geçirdikleri hesapları kullanarak:
- E-postaları toplayabiliyor,
- Bulut depolama hizmetlerine erişebiliyor,
- Microsoft Entra ID’ye cihaz kaydedebiliyor.
Bu sayede saldırganlar, sadece hesapları ele geçirmekle kalmıyor, aynı zamanda uzun vadeli erişim sağlamak için yeni cihazları sisteme ekleyebiliyor.
Microsoft’tan Güvenlik Önerileri
Microsoft, cihaz kodu kimlik avı saldırılarına karşı şu önlemleri almanızı öneriyor:
✅ Cihaz kodu doğrulamasını mümkün olduğunca devre dışı bırakın.
✅ Microsoft Entra ID üzerinde Koşullu Erişim Politikaları uygulayın.
✅ Şüpheli bir girişim fark ederseniz, kullanıcının yenileme jetonlarını hemen iptal edin.
✅ Giriş günlüklerini kontrol ederek olağandışı etkinlikleri tespit edin.
Özellikle bilinmeyen IP adreslerinden gelen kimlik doğrulama girişimlerine ve kısa sürede gerçekleşen yüksek hacimli giriş denemelerine dikkat edilmesi gerekiyor. Microsoft, cihaz kodu kimlik avı saldırılarının giderek yaygınlaştığını ve saldırganların daha sofistike yöntemler geliştirdiğini belirtiyor. Bu yüzden, güçlü güvenlik önlemleri almak ve şüpheli etkinlikleri anında tespit etmek büyük önem taşıyor.
Uzmanlar Microsoft hesaplarınızı korumak için güncel güvenlik politikalarını takip etmenizi ve şüpheli davetiyelere karşı dikkatli olmanızı tavsiye ediyor.
